避免云周围环境配置错误的7种方法

>

虹的差错内置是并不相同的。都只的差错内置该软件一次又一次地显现出，这是司空见惯的。允许不受到限制的SSH到访的安全和第一组法则（如22号端口的0.0.0.0/0）只是日常再次发生的那种差错内置的一个例子，不一定是在批复的重新部署油管外。我们选用这个例子是因为大多数技工都相像它（并且很可能但会在他们职业生涯的某个期中犯过这种恶劣的道德上）。

因为虹交通设施非常灵活，我们可以选用API随便相反它，所以我们排斥于不时这样好好。这是一件好事，因为我们在上进和改进我们的用户界面，无需更改我们的交通设施来赞成这种创新。但是，如果你很难防堵路经的差错内置，预计但会有大量的差错内置被引入你的情况下。一半的虹计算施工和安全和指导工作团队每天要处理50起以上的差错内置血案。

档案资料来非同：2021 年虹安全和情况下简报

为什么但会再次发生虹内置差错

如果我们最终地选用了虹，那么我们的虹情况下唯一定值的就是再次发生变化，因为这这样一来我们悄悄快速创新并不断改进我们的用户界面。

但不停再次发生变化都在在着可能性。

根据Gartner的数据集，到2023年，据估计有99%的虹安全和失灵将是的产品的错。考虑到虹的差错内置是虹安全和失灵再次发生的因素，而差错内置100%是人为差错的结果，这1%无论如何是一个对冲。

但是，为什么虹计算技工但会不时犯这样的决定性差错呢？

不足对虹安全和和财政政策的认识是从前一年里简报的虹差错内置的首要因素之一。把你所有的强制拒绝执行法则和外部安全和财政政策汇编在一齐，你可能但会有一个像《军事冲突与和解》一样厚的抄录。很难人并能好好到所有这些，我们也不应当该期待他们并能好好到。

因此，我们无需而政府来防止差错内置。但是，31%的人说他们的该第一组织不足足够的控制和行政官员来防止虹计算的差错内置。

部分因素是有有点多的API和虹界面让指导工作团队没有理论上管理机构。选用多个虹平台（45%的投票者说是）只但会使疑虑非常严重，因为每个平台都有自己的人力类型、内置属普遍性、无需管理机构的API、财政政策和控制。你的指导工作团队无需理论上补救所有选用里的虹平台的专业专业技能。

如果指导工作团队选用了虹营运商的本地安全和用以，而该用以在多虹情况下里并不；也，那么多虹安全和面对就非常有用。

档案资料来非同：2021 年虹安全和情况下简报

七项战略建议

由于虹安全和主要涉及在差错内置差错被的网站来开展此前对其开展预防、检测和整修，因此从虚拟化即字符 (IaC) 到研再次发生活史的每个期中都无需重新部署理论上的基于策略性的启动时化。 CI/CD 到接入时。

示意图我列出了来自虹工作者的七项建议来实现这一最大限度。

1. 建起对情况下的可见普遍性。

虹安全和是关于你的虹的知识，并愿意你的对手到访该知识。如果你不知晓虹情况下的完备基本上，以外每个人力、内置和亲密关系，那么你悄悄招来严重的可能性。跨虹平台建起并保持一致对虹情况下的全面可见普遍性，并持续分析每次改以的安全和受到影响，以外潜在的爆炸表面积可能性。

你不仅但会赢得更容易的安全和其发展趋势，还但会使你的研发职员并能更容易地行动，强制拒绝执行工作者但会非常感谢你透过的主动审核证据。

2. 最大限度但会选用交通设施即字符。

除了少数例外，你很难理由重构和更改虚拟化外的任何虹虚拟化，即字符和启动时化 CI/CD 油管，尤其是对于任何人所。选用 IaC 不仅为虹操作方法导致了可靠性、现有和可预测普遍性，还透过了一种体检虹交通设施预重新部署安全和普遍性的机制。当研发职员选用 IaC 时，你可以为他们透过在重新部署此前体检其虚拟化安全和普遍性所需的用以。

如果你悄悄接入多虹情况下，那么像Terraform这样被尤其选用的GNU IaC 用以可能但会是你最难的选择。虹营运商透过的 IaC 产品是免费的，如果你不无需多虹赞成，则毫无疑问考虑。

3. 最大限度但会选用基于策略性的启动时化。

任何有以全人类语言理解的虹策略性的人口众多，都但会引发解释和推行差错的差异。；也于你的虹情况下的每项虹安全和和强制拒绝执行策略性都应当以可拒绝执行字符的形式理解和拒绝执行。选用策略性即字符，虹安全和变得带有已确定普遍性。这样可以理论上地管理机构和推行安全和普遍性，并借助研发职员在研发过程的最初赢得安全和普遍性。

尽量避免将专有供应当商策略性作为字符用以，并选择GNU策略性引擎，例如Open Policy Agent (OPA)。OPA 可以应当用于任何可以转换成 JSON 或 YAML 可用的东西，这几乎扩展到了所有虹用例。

这两项考虑不无需针对 IaC 和接入虹虚拟化选用并不相同用以和策略性的系统设计。

4. 使研发职员并能安全和地重构。

对于虹，安全和普遍性是一个软件施工疑虑，而不是数据集分析疑虑。虹安全和专业职员无需施工专业技能并知晓整个软件研再次发生活史 (SDLC) 的指导工作原理，从研发到 CI/CD 和接入时。研发职员无需用以来借助他们在 SDLC 最初赢得安全和普遍性。让安全和踏入其发展的先见之明和深厚的伙伴，而不是只追捧重新部署后疑虑的事后考虑。

对安全和指导工作团队开展虹施工实践培训班不仅能让他们更容易地掌握强攻的现代虹威胁所需的专业技能，而且他们还将赢得可贵的专业技能和充分，以借助他们推进职业生涯。你将大大提高指导工作团队保留率并更容易地将你的该第一组织定位为理想的指导工作平时。

5. 意味著你的到访策略性。

如果你还很难正式的到访和管理机构虹情况下的策略性，那么直到现在是时候建立一个了。选用终端辅助在线 (VPN) 来加强与决定性在线空间（例如，亚马逊终端私有虹或 Azure 终端在线）的安全和通信。使 VPN 到访能用或无需，以便指导工作团队可以到访公司人力，即使它们位于不有点受信任的 Wi-Fi 在线上。

技工排斥于建立最初安全和第一组法则或 IP 白名单，以便他们可以到访虹里的共享指导工作团队人力。频繁的审核可以确实终端机或其他虹交通设施很难面临额外的可能性。行政官员建立堡垒主机，意味著非同 IP 范围，并控管不受到限制的 SSH 到访。

在 AWS、Azure、GCP 和其他公共虹里，IAM 充当普遍在线。遵循最少允许规范，并来开展Fugue 最佳实践框架等用以来识别强制拒绝执行体检可能但会附注的该软件。让 IAM 改以踏入你的改以管理机构程序中的一部分，并来开展权此前和但会话管理机构用以。

选用“默认愿意”的成见。

6. 标示所有虹人力。

在整个虹足迹里推行人力关键字并建起理论上的关键字誓约。选用关键字是借助你搜索和管理机构虹人力的最佳方式为之一，但你无需建起关键字誓约并强制拒绝执行。选用全人类可读的人力名说是，并以外每个人力的其他用户、项目名说是和重新部署定于。

如果虹人力未确实标示，则应当将其普遍认为高度知情并终止。

Microsoft Azure在虹人力标示誓约方面有较好的人力。

7. 已确定平均值整修小时 (MTTR)。

加权你的可能性和虹安全和的理论上普遍性是你如何已确定你的论调和你想去的人口众多。最主要的加权标准是你的平均值整修小时。你可能但会不并不知道你当前的 MTTR 是多少安全和决定性的虹人力内置差错（常常有虹的产品但会这样好好），你应当该相反它。为以分钟为单位的 MTTR 原作最大限度，如果启动时整修对你的指导工作团队和情况下来说不是一个难以实现的附加，再三调整你的程序中以维护你的指导工作团队并能在的网站找到决定性该软件此前检测和整修它们。

展望未来

随着虹选用的增长，你的情况下的有用普遍性以及保持一致其安全和的面对将但会增加。的网站悄悄选用启动时化在几分钟内识别和来开展虹差错内置，因此首先尽量避免内置差错至关极为重要。通过为你的研发职员加装基于策略性即字符的启动时化用以，你将并能扩展你的安全和指导工作以遏制这些新面对，而无需扩展安全和职员存量。而且，你在虹里的旋转运动速度将比在数据集里心里的旋转运动速度更容易。

原文标题：7 ways to avoid a cloud misconfiguration attack

原作者：Josh Stella

。

多维元素片
珠海看白癜风哪里好
安徽白癜风医院哪好
英太青的成分有哪些
福州白癜风医院哪最好